Uwaga, koń trojański potrafi podmienić numer rachunku w schowku

dodał 22 października 2013 o 22:20 w kategorii Złośniki  z tagami:
Uwaga, koń trojański potrafi podmienić numer rachunku w schowku

Cyberprzestępcy wymyślają coraz to nowe metody, by dobrać się do naszych pieniędzy. Po koniach trojańskich, wstrzykujących dodatkowe treści w strony banków, przyszedł czas na program, podmieniający w schowku numer konta bankowego.

Od 10 października dostajemy od Czytelników kopie wiadomości poczty elektronicznej, zawierających podejrzany załącznik. We wszystkich do tej pory otrzymanych próbkach temat wiadomości brzmi  „Zaległa faktura VAT – przedsądowe wezwanie do zapłaty‏”, natomiast załącznik ma nazwę „faktura_VAT_XX_YY_2013.PDF.scr”, gdzie XX i YY to odpowiednio aktualny dla momentu wysłania wiadomości dzień i miesiąc, np. faktura_VAT_08_10_2013.PDF.scr. Sama wiadomość wygląda następująco:

Wiadomości rozsyłane są przy wykorzystanieu sieci TOR z konta db_media@interia.eu. Załącznik, choć posiada rozszerzenie .SCR (czyli wykonywalny plik wygaszacza ekranu), ma ikonę dokumentu PDF i u osób, które mają wyłączone wyświetlanie znanych rozszerzeń plików (czyli pewnie większości internautów) wygląda jak niewinny dokument. Co dzieje się po jego uruchomieniu?

Poza skopiowaniem swoich plików na infekowany komputer, koń trojański wykonuje kilka operacji, z których kilka jest dość rzadko spotykanych. Po pierwsze, pobiera plik z adresu

w którym znajduje się prawdopodobnie zaszyfrowana konfiguracja lub zestaw poleceń. Ten sam plik jest potem pobierany w godzinnych odstępach. W kolejnym kroku łączy się za pomocą protokołu SMTP z publicznym, darmowym serwerem pocztowym i używając loginu i hasła wysyła wiadomość poczty elektronicznej.

Jak widać, wiadomość zawiera przede wszystkim nazwę zainfekowanego komputera, datę i godzinę infekcji oraz listę procesów uruchomionych na komputerze. Następną operacją konia trojańskiego jest otwarcie linka

W tej chwili licznik ten pokazuje wartość ok. 1200, jeszcze 2 tygodnie temu wskazywał na ok. 350 odwiedzin. Z jednej strony może to świadczyć o skali infekcji, z drugiej strony być może tylu badaczy sprawdzało, jaki jest aktualny stan licznika. Ostatnim ciekawym krokiem jest próba wczytania dokumentu z linka

Jest to próba nieudana – pod wskazanym adresem czeka tylko błąd 404. W czasie tych operacji na ekranie komputera użytkownika pojawia się małe okienko z komunikatem o błędzie.

Komunikat o błędzie

Komunikat o błędzie

Dwa tygodnie temu, kiedy analizowaliśmy pierwszą próbkę złośliwego programu, na tym etapie zakończyliśmy badanie. Dzisiaj z ciekawością przeczytaliśmy artykuł autorstwa zespołu CERT, który odkrył najważniejszą funkcjonalność tego konia trojańskiego. Okazuje się, że jego głównym zadaniem jest podmienianie numeru rachunku bankowego w trakcie jego kopiowania z jednego miejsca w drugie. Przy każdej próbie skopiowania 26 cyfr do schowka, są one podmieniane na numer rachunku, zakodowany przez twórcę złośliwego oprogramowania (co ciekawe, jeśli cyfr lub znaków następujących przed lub po nich jest więcej, podmiana również następuje, jednak dotyczy tylko pierwszych 26 cyfr). Program każdy numer rachunku bankowego zmienia na 85105010411000009150117662, czyli rachunek w banku ING.

CERT informuje także, że koń trojański posiada elementy rootkita, ukrywające obecność jego plików w systemie. Pierwsza próbka, otrzymana przez nas, pochodziła z 10 października, jednak ataki trwają co najmniej od 26 września 2013 – taki najstarszy plik z koniem trojańskim znaleźliśmy w serwisie VirusTotal. Plik z 8 października wykrywa obecnie 32/47 antywirusów, z kolei wersję z 16 października tylko 20/47.

Wiadomości nadal są rozsyłane, także warto ostrzec swoich krewnych i znajomych przed otwieraniem niespodziewanej faktury. Najlepszym testem na to, czy komputer jest zainfekowany, jest próba skopiowania 26 cyfr do schowka i ich ponowne wklejenie do notatnika. Jeśli widzicie wynik inny, niż skopiowany tekst, polecamy dobry program antywirusowy, najlepiej skanujący dyski w momencie uruchamiania komputera.